简单证书注册协议（SCEP）

简单证书注册协议（SCEP）是用于证书管理的协议标准。SCEP主要用于基于证书的身份验证，通过证书访问Wi-Fi、VPN和加密保护电子邮件等服务。

基于证书的身份验证的主要优点是：

• 零用户干预，因为用户通过证书进行身份验证。
• 安全的网络通信，因为数据使用证书进行加密和身份验证。

然而，对于大型组织中的IT管理员来说，手动分发证书是一项很麻烦的任务。SCEP帮助网络管理员方便地在设备上安装证书。SCEP为处理大型组织中的证书提供了一种简化的、可扩展的方法。证书和SCEP的区别在于SCEP策略用于将客户端证书分发到设备，而证书策略用于将CA证书分发到设备。

先决条件

• Windows服务器机器中必须安装NDES
• 配置证书模板
1. 点击开始菜单，选择运行，输入mmc并点击确定。
2. 点击文件并选择添加/删除管理单元……。选择证书模板，点击添加，点击确定。



3. 右键单击证书模板并选择管理。
4. 点击用户并选择复制模板。



5. 指定模板名称并点击确定保存。



6. 点击扩展程序，选择应用策略。点击编辑并选择客户端认证，将其添加到应用策略中。

      

7. 点击加密并指定最小密钥大小。建议密钥大小为2048，以提高安全性。在MDM中配置SCEP时指定这个密钥大小。



8. 点击安全并选择策略要应用到的组。确保所选域允许注册。



9. 点击主体名并选择在请求中提供，用于在证书请求中指定主体名称。



• 将证书模板映射到SCEP
1. 在Microsoft管理控制台（MMC）中添加证书颁发机构作为管理单元。

    

2. 展开证书颁发机构并右键单击证书模板。点击新建并选择要颁发的证书模板。



3. 选择之前创建的证书模板，单击确定。

    

若要更改Microsoft NDES使用的默认证书模板，需要修改Microsoft注册表值。

4. 点击开始菜单，选择运行，输入regedit并点击确定。
5. 展开HKEY_LOCAL_MACHINE -> SOFTWARE -> Microsoft -> Cryptography -> MSCEP。
6. 右键单击加密模板并点击修改。



7. 为Value date指定创建的证书模板的名称。GeneralPurposeTemplate和SignatureTemplate重复相同操作。重启服务器使更改生效。



• 防止挑战密码过期
如果您正在使用挑战密码(推荐)，那么必须修改注册表值以防止挑战密码过期。

1. 打开regedit并展开HKEY_LOCAL_MACHINE -> SOFTWARE -> Microsoft -> Cryptography -> MSCEP -> UseSinglePassword。
2. 右键单击UseSinglePassword并更改data的值为1。



配置完成后，请重启NDES服务器。

在MDM中配置SCEP